Un team di esperti di sicurezza della ditta francese VUPEN è riuscito a vincere la sfida degli hacker Pwn2Own di quest’anno, sfruttando una falla presente nel browser Safari di Apple.
Il team VUPEN, il cui co-fondatore è Bekrar Chaouki, ha attirato nella sua trappola un MacBook sul quale era in esecuzione una versione completamente patchata di Mac OS X a 64-bit.
La trappola, in questo caso, era un sito web “truccato” tramite il quale il team è riuscito ad accedere al MacBook ed, entro cinque secondi di navigazione sul sito, ha lanciato con successo l’applicazione “calcolatrice” e ha scritto un file sul disco senza neanche mandare in crash il browser.
In un’intervista a ZDNet, Bekrar ha detto che la vulnerabilità di Safari sta in WebKit, cioè nel motore open-source di rendering del predetto browser. Il menzionato team, formato da tre uomini, ha impiegato circa due settimane per trovare le vulnerabilità e scrivere un exploit affidabile.
La VUPEN ha vinto il premio di $ 15.000 e un Apple MacBook Air da 13 pollici con Mac OS X Snow Leopard.
Bekrar ha detto che la creazione di un exploit per Safari è stata “un po ‘difficile” a causa della mancanza di documentazione relativa a 64-bit per Mac OS X.
“Abbiamo dovuto fare tutto da zero. Abbiamo dovuto creare uno strumento di debug, creare lo shell code e utilizzare la tecnica POR (return oriented programming). La difficoltà principale è stata quella di fare tutto da soli, senza l’aiuto della relativa documentazione ed è stato molto più difficile creare l’exploit che trovare le vulnerabilità.”
E’ da notare, comunque, che sul MacBook in questione vi era installata la penultima versione di Safari in quanto Safari 5.0.4è stato rilasciato solo ieri.
Ricordiamo inoltre che la sfida ha anche interessato altri browser tra i quali Internet Explorer 8. Anche quest’ultimo è stato hackerato. Per quanto riguarda invece Mozilla e Google chrome, gli hackers non si sono presentati.
Per rimanere informati su questo argomento, vi invitiamo a seguirci tramite Twitter, Facebook, Google+ e a scaricare la nostra applicazione gratuita per iPhone.
Al Pwn2Own, un hacker sfrutta una falla di Safari per accedere a un MacBook : iApp-Mac…
Un team di esperti di sicurezza della ditta francese VUPEN è riuscito a vincere la sfida degli hacker Pwn2Own di quest’anno, sfruttando una falla presente nel browser Safari di Apple. Il team VUPEN, il cui co-fondatore è Bekrar Chaouki, ha attirato nel…
Peccato che il Safari bucato fosse la versione vecchia e che quelli del Pwn2Own si sono guardati bene dall’aggiornare per eliminare anch ela minima possibilità di fare delle figuracce….
Doveva essere:
“…Peccato che il Safari bucato fosse la versione vecchia. Quelli del Pwn2Own sono stati talmente scorretti da risparmiarsi’aggiornamento. Dovevano eliminare anche la minima possibilità di fare figuracce..”
Scusate….
[...] precisamente nel WebKit che, come ricorderete, venne utilizzata durante la famosa gara di hacker Pwn2Own per hackerare il [...]
[...] tra le migliorie apportate e i vari bug risolti, dovrebbe anche essere riparata la già discussa falla presente in Safari e non ancora [...]